\chapter{引言}

\section{问题的提出}
文件系统的取证与分析（File system forensic analysis）一直是一个研究的热点。司法调查人员可以
借助这一领域的研究成果，对作为证物的存储介质进行分析以提取可能的证据；一般用户也可以借以恢复
误删、误改的数据。目前在该领域已经有较多针对分析多种磁盘文件系统所做的工作；同时也有若干可以应
用于几种被广泛采用的文件系统的成熟的分析软件。

但是近年来，以NAND为存储介质的智能手机成为了大多数手机用户的首选；同时，存储介质容量的提升，用
户的智能手机也存储了越来越多的数据。一方面这些数据（例如手机短信、联系人、通话记录、网络帐号、
照片以及视频）是取证调查的重点，另一方面它们也关系到用户信息安全以及个人隐私。直到本文完成时，市
场上仍然没有针对为手机NAND存储硬件专门设计的文件系统而设计的分析、恢复程序。在这种情形下，针对
NAND设备以及当前最流行的手机文件系统的特点而提供一套数据恢复方案将是一件有意义的事情。

\section{框架方案与本文工作}
数据恢复方案主要划分为两部分：对文件系统的分析和文件恢复的算法。前者主要指解析文件系统的每个逻辑块的
内容，将属于不同文件或目录的逻辑块分别组织起来；后者主要指给定属于同一文件的逻辑块，正确恢复文件内容的
过程。

本文将阐述一个针对Android手机操作系统下流行的YAFFS2文件系统的恢复软件的设计和实现细节。该工具能够解析
YAFFS2文件系统的NAND镜像文件，分析文件系统以及每个文件的结构，并且最大限度地恢复文件的每个修改版本的内容。

对YAFFS2文件系统镜像的解析，需要了解NAND存储设备的特性以及YAFFS2的存储结构实现细节；文件恢复工作需要设计并
实现一套算法，以正确地选取和组织文件逻辑块。

\section{本文的组织}
本文接下来各章组织如下：
\begin{itemize}
\item 第二章介绍论文的背景知识和相关工作，包括NAND和YAFFS2的简单介绍以及在文件系统取证与分析
领域已有的工作。
\item 第三章介绍文件恢复工具的设计，包括软件的总体结构、模块划分、模块间交互以及文件恢复的算法；
\item 第四章介绍文件恢复工具的实现，包括每个模块的具体实现方法以及软件的人机接口；
\item 第五章用多种复杂度的输入对文件恢复工具的性能进行了评估；
\item 第六章对本文工作进行总结，并展望今后可以展开的工作。
\end{itemize}
